Bonjour,
 
Nous disposons actuellement d'un routeur physique pour gérer la passerelle vers Internet (via 3 connexions Internet différentes).
 
J'envisage de passer à un ordinateur dédié à cette tâche sous GNU/Linux.
 
Raisons :

• Plus de fonctionnalités/possibilités
• Avoir la main sur plus de choses

Voici le "cahier des charges" :

• Support "multi-WAN" : capable de gérer plusieurs passerelles/connexions Internet
• Load balancing : Equilibre la charge réseau entre les différentes connexions Internet afin d'optimiser l'utilisation des liens
• Load balancing paramétré Possibilité de forcer une passerelle selon des critères définis (la source, la destination, etc.)
• Load balancing intelligent : un système qui ne bascule pas une session SSH en cours ou bien une visite sur un site en HTTP(S) entre plusieurs chargements de page
• Support des VLAN/802.1Q : La machine n'ayant que 2 cartes réseau, toutes les connexions Internet arriveront sur un port "tagged" et la distribution sera configurée pour en faire la distinction

Environnement :

• 80 machines et 10 serveurs
• 3 connexions Internet (certaines via un vrai routeur, d'autres avec une box en mode "bridge" )

Après enquête j'ai trouvé les distributions linux suivantes :

• Endian Firewall Community (EFW)
• IPFire
• m0n0wall
• pfSense
• SME Server
• SmoothWall Express (pas de multi-WAN)
• Zentyal : Environnement Ubuntu
• ZeroShell : version beta uniquement

Auriez-vous des retours sur ce genre d'installation ? Sur les distribution existantes (citées ou non) ?

Smoothwall ne fait pas de multiwan et encore moins de loadbalancing du coup

Je crois Zeroshell répond aux besoins :
http://www.zeroshell.net/eng/
Pour ma part je l'utilise en réel (multi-WAN) et aussi en virtuel pour simuler des environnements de test complets et j'en suis satisfait.

En effet : hop, éjecté !

J'étais tombé sur sur ZeroShell mais je n'ai vu que des version beta :S
Par contre la possibilité de virtualisation m'intéresse aussi (mais sur Xen)

J'avais un peu joué avec monowall / pfsense et l'interface graphique est vraiment chouette

ZeroShell est toujours en beta depuis longtemps mais cela ne signifie plus grand chose. Il est en production depuis plusieurs années chez nous et je n'ai pas eu de problème de stabilité. ZeroShell continue a évoluer, doucement pour éviter les risques.
 
J'ai auparavant utilisé ou testé Untangle, m0n0wall, pfSense mais seul ZeroShell permettait le multi-wan et le bonding à l'époque.
 
Autre avantage de ZeroShell, le minimum de ressources consommées (RAM) par rapport à des solutions comme Untangle ou Vyatta.

Pour ce genre de besoin, a la place d'un PC, tu peux regarder du coté des boitiers Alix (2D3 ?) qui sont des sorte de micro appliance.
Tu peux y avoir pfsense intégré, auquel cas tu configures, et tu oublies.
Pour ton besoin assez limité, ca pourrait coller.

Zeroshell : testé chez moi, un vrai boulet à paramétrer. Mais une fois fait, parfaitement opérationnel.
pfSense et m0n0wall : impécables l'un comme l'autre, du nougat à paramétrer. Néanmoins m0n0wall a un peu de retard dans les améliorations demandés par les utilisateurs, qui sont reprises pour les plus importantes par l'équipe de dév de pfSense.

Si tu préfères la stabilité, pars sur m0n0.
Si tu as besoin d'une fonction que n'a pas m0n0, pars sur pfSense.

Pour les autres :
- SME Server n'est plus en développement officiel depuis 2008 repris depuis par une équipe de bénévoles, les mises à jour sont très espacée (7.4 novembre 2008, 7.5 mai 2010).
- Zentyal, anciennement appelé eBox, fonctionne essentiellement par modules. Le gros avantage étant que tu peux avoir une machine Zentyal qui fait firewall et une autre machine Zentyal qui fait serveur de fichiers. En contre il est basé effectivement sur Ubuntu, donc bon bof
Quand le développement était encore appelé eBox, cela fonctionnait parfaitement sur une Debian, donc à voir si toujours possible ou pas.
-IPFire : fork d'IPCop basé sur un Linux "from scratch". Tourneras impécablement mais j'ai des doutes sur le support matériel si tu pars sur une machine spécialisée (cf post de trictrac).
- Endian : dans les rares tests que j'ai pu lire, il est assez souvent fait mention que certaines attaques ne sont pas répercutées dans les logs (ici par exemple). De plus au vue des différences avec la version appliance, il est clairement fait mention que la version librement téléchargeable est très inférieure en sécurité à l'appliance. A mon avis à oublier aussi.

Je confirme, pfsense est niquel et me semble répondre à ton cahier des charges.
Ne cherche pas plus loin

Quelles difficultés as-tu rencontré pour paramétrer ZeroShell ? Je suppose que tu as utilisé l'interface web.

C'était pour faire un portail captif tout bête, sans authentification, qui renvoyait juste sur un LAN : j'entrais des paramètres et il ne me les prenait pas en compte...
 
De plus le QOS (notamment pour limiter la bande passante par utilisateur) n'a jamais voulu fonctionner, alors j'ai préféré laissé tomber et repartir sur du m0n0wall.

pfSense est un excellent produit  

Je confirme, je suis entrain de mettre en place une solution identique et pfSense réponds très bien au besoin (utiliser plutot la 2.0-RC1 que la dernière version 1.x par contre). La configuration me parait aussi plus ergonomique que ZeroShell (je n'ai pas essayé m0n0wall par contre), le must étant le système de package qui te permet d'installer d'un simple clics des outils très utiles (genre un squid en proxy transparent, du ntop, un module netflow, ... ca permet de voir un peu ce qui transite par tes liens).

Merci pour toutes ces réponses.
 
J'ai commencé à tester pfSense, mais la 1.2.3.
Je vais installer aussi la 2.0-RC1 pour voir les avancées.

 
 
Hello,
du coup, ca m'a donné envie de tester Pfsense
Pourquoi installer la 1.2.2 et pas directement la 2.0 ?

Peut être parce que la 2.0 est encore en Release Candidate ? donc en développement/version béta

quelle solution vous avez installé? pfsense?????,

On a finalement adopté pfSense (1.x puis la 2.x).

avez vous des retours sur la solution je l'ai en prod sur un réseau dédié aux maquettes depuis pas mal d'années. Mais sur une vrai prod avec un reseau qui monte en charge ca donne quoi ?

avez vous vu des trucs bien et d'autre moins bien ? j'ai cru comprendre que la partie vpn etait un peu en retrait.

Les réglages du début pour éviter les déconnexions subies lors du surf web sur des sites qui n'aiment qu'on change d'adresse IP (nous fonctionnons en mode load-balancing) étaient un peu embêtant à mettre en place.
 
Et toujours "à cause" du multi-WAN j'ai du passer un peu de temps à régler les services pour qu'ils fonctionnent aussi bien quelque soit la connexion WAN utilisée (en sortie comme en entrée).
 
L'intégration LDAP fonctionne bien mais il semble que pfSense, au démarrage, se fixe sur une connexion particulière pour la liaison LDAP. Ce qui a tendance à poser problème lors de la coupure de cette connexion car alors l'interface web réponds très mal. L'option RADIUS (non testée) semble moins impactée car on peut configurer le timeout (ce qu'il n'y a pas dans la configuration LDAP).
 
Le VPN (IPSec) fonctionne bien (clients Windows et mobiles iOS).

ok donc l'aspect multi-wan necessite un peu de conf. J'ai pour projet d'utiliser justement pfsensz pour du multi-wan. la configuration specifique dont vous parlez touche quelle partie ?

Cette configuration particulière a été faite alors que pfSense était en v2.1 (cela a peut-être changé depuis) et était nécessaire pour que les services hébergés sur le pfSense :

• serveur DNS interne
• serveur VPN

Soient accessible depuis n'importe quelle WAN (trafic entrant) et puissent accéder à Internet via n'importe quel WAN (trafic sortant).
 
En ce qui concerne le respect des sessions, le temps perdu était surtout dû à la découverte de l'outil et de ces subtilités : le produit le gère mais il fallait trouver où le configurer.